![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Товарищ майор повышает бздительность
2020-10-01 06:33 pmВ феврале этого года я сделал эксперименальную триммированную сборочку Windows 10 (для себя), на основе MSDN-овских ISO-файлов Windows 10 1909 — вырезал всё ненужное с помощью NTLite (телеметрия, Cortana, SmartScreen, синхронизация буфера обмена с "облаком", вход в систему через Microsoft Online Account, Windows Update, Defender, Store, OneDrive, Windows Push Notifications Service, Metro-приложения, Search, Windows Firewall).
Затем я установил эту сборочку в постоянно включённую виртуальную машину с записью трафика и оставил так на полгода. Для дополнительной надёжности, с помощью hosts-файла были отображены в 0.0.0.0 следующие домены (которые периодически мелькали в pcap-дампах):
slscr.update.microsoft.com
ctldl.windowsupdate.com
settings-win.data.microsoft.com
www.bing.com
onecs-live.azureedge.net
login.live.com
validation-v2.sls.microsoft.com
Также я установил Henry++ Simplewall и тоже там заблокировал всякое неподобство, наподобие той же телеметрии и обновлений.
Где-то с полгодика десятая винда вела себя более-менее прилично, но во время последней перезагрузки таки залипла минут на 40, гоняла шары и устанавливала обновления. Из чего следуют, в общем-то, и так понятные истины наподобие "невозможно научить волка кушать манную кашу". Как не триммируй, а десятая винда, созданная для сбора/передачи пользовательских данных, а также для постоянного самообновления, всё-таки найдёт способ самообновиться и собрать/передать пользовательские данные "куда следует".
Из свеженького в System32 привлекает внимание папка SleepStudy, защищённая от чтения локальным администратором, с файлами UserNotPresentSession.etl и user-not-present-trace-*.etl, а также ScreenOn\ScreenOnPowerStudyTraceSession-*.etl
( Скриншот )
Насколько я понимаю, товарищ майор интересуется, почему нет какой-либо активности на компьютере, ё-моё, куда же все подевались, "а-ууу, лю-ю-юуд-и-и-и"; а также путём доставки персонализированных обновлений предлагает поучаствовать в тематическом исследовании "а что это у вас там на экране такое интересненькое?"
Обращаю особое внимание читателей на такой пикантный аспект, что это не простая, а предельно триммированная десятая винда, в которой всё лишнее физически вырезано и отключено через GPO.
Затем я установил эту сборочку в постоянно включённую виртуальную машину с записью трафика и оставил так на полгода. Для дополнительной надёжности, с помощью hosts-файла были отображены в 0.0.0.0 следующие домены (которые периодически мелькали в pcap-дампах):
slscr.update.microsoft.com
ctldl.windowsupdate.com
settings-win.data.microsoft.com
www.bing.com
onecs-live.azureedge.net
login.live.com
validation-v2.sls.microsoft.com
Также я установил Henry++ Simplewall и тоже там заблокировал всякое неподобство, наподобие той же телеметрии и обновлений.
Где-то с полгодика десятая винда вела себя более-менее прилично, но во время последней перезагрузки таки залипла минут на 40, гоняла шары и устанавливала обновления. Из чего следуют, в общем-то, и так понятные истины наподобие "невозможно научить волка кушать манную кашу". Как не триммируй, а десятая винда, созданная для сбора/передачи пользовательских данных, а также для постоянного самообновления, всё-таки найдёт способ самообновиться и собрать/передать пользовательские данные "куда следует".
Из свеженького в System32 привлекает внимание папка SleepStudy, защищённая от чтения локальным администратором, с файлами UserNotPresentSession.etl и user-not-present-trace-*.etl, а также ScreenOn\ScreenOnPowerStudyTraceSession-*.etl
( Скриншот )
Насколько я понимаю, товарищ майор интересуется, почему нет какой-либо активности на компьютере, ё-моё, куда же все подевались, "а-ууу, лю-ю-юуд-и-и-и"; а также путём доставки персонализированных обновлений предлагает поучаствовать в тематическом исследовании "а что это у вас там на экране такое интересненькое?"
Обращаю особое внимание читателей на такой пикантный аспект, что это не простая, а предельно триммированная десятая винда, в которой всё лишнее физически вырезано и отключено через GPO.
